8 Budovanie VPN pomocou IPsec - príklady a riešenia
8.1 Príklad konfigurácie IPsec VPN na zariadeniach firmy Cisco

V prvej fáze je potrebné nastaviť politiky IKE protokolu ISAKMP. Politika IKE slúži protokolu IPsec na zriadenie SA. Pre ich zriadenie je však potrebné dojednať zdieľaný kľúč PSK medzi obomi stranami, od ktorého budú odvodené vlastné šifrovacie kľúče. Na výmenu kľúčov sa obyčajne využíva mechanizmus DH. Protokol ISAKMP používa transportný protokol UDP na porte 500. Príklad konfigurácie politík (typ autentizácie, šifrovací a hashovací algoritmus, DH skupiny a doby životnosti SA v sekundách) je možné vidieť na nasledujúcom obrázku.

image
Konfigurácia IKE politík protokolu ISAKMP na smerovači Cisco

Ďalej je potrebné nastaviť zdieľaný kľúč PSK, ktorým sa strany vzájomne autentizujú. V rámci príkazu je taktiež definovaná IP adresa druhej strany. Príklad je opäť uvedený na nasledujúcom obrázku.

image
Konfigurácia zdieľaného kľúča PSK na smerovači Cisco

V druhé fáze sa konfigurujú vlastné nastavenia protokolu IPsec. Definuje sa množina použitých algoritmov na šifrovanie a zabezpečenie integrity dát, tzv. TS (Transform Set). Ako príklad použijeme protokol ESP v kombinácii s HMAC algoritmom SHA-1. Smerovač začne príslušnú premávku šifrovať až vtedy, ak má nastavenú tzv. zaujímavú premávku (Interresting Traffic) pomocou klasického firewallového pravidla ACL (Access List). Takto definované parametre spojí objekt, tzv. kryptomapa (Crypto Map), ktorá je spolu s ďalšími dodatočnými parametrami ako predvolená adresa druhej strany (všeobecne je možné definovať viacej adries) a nepovinnými parametrami ako DH skupina, doba životnosti IPsec SA (v sekundách) následne aplikovaná na príslušné rozhranie WAN (Wide Area Network). Všetko je vidieť na príklade v nasledujúcom obrázku.

image
Konfigurácia protokolu IPsec VPN na smerovači Cisco

Analogicky je nutné obe IPsec fázy nastaviť aj na druhej komunikujúcej strane (smerovači) !!!

image
Príklad zapojenia topológie úlohy na IPsec VPN